לֹוחָמַת סייבר: תנו למקצוענים להגן עליכם

במציאות שבה האקרים מפוצצים בסיסי טילים בטהרן, אי אפשר להסתפק בתוכנת פיירוול פשוטה שתגן על הרשת הארגונית * אז מה עושים כדי להתאים היום את אבטחת הרשת לטכנולוגיה של המחר? * גל עופרי מבזק בינלאומי ממפה את ארבעת העקרונות שצריך לכסות כדי שתוכלו לישון בשקט בזמן שהעובדים שלכם מתחברים לעבודה ממחשבים לא מאובטחים

ב-25.6.20, בשעה אחת אחר חצות, הרעיד פיצוץ עז את טהרן ושלח כדור אש ענקי לשמיים. הממשל באיראן טען כי דליפת גז היא שהובילה לפיצוץ, אולם בתוך שעות החלו לצוץ דיווחים על כך שמדובר בחבלה מכוונת בבסיס הטילים פארצ'ין. על פי מקורות זרים, מאחורי הפיצוץ  עמדו לוחמי סייבר ישראליים שהשתלטו מרחוק על רשת המחשבים הצבאית ויזמו תקלה מרחוק.

זה אולי נשמע כמו עוד פרק בסדרה "טהרן", אולם במקרה הזה לא מדובר בתסריט דמיוני. לֹוחָמַת הסייבר, שבמשך שנים נחשבה ל"נשק של העתיד", הפכה לחלק מהותי ממערך ההתקפה הצבאי של כל מדינה מתקדמת – ומה שעובד טוב בצבא מחלחל כמובן גם לאזרחות.

אם בעבר החשש המרכזי של חברות עסקיות היה מפני ריגול תעשייתי, הרי שכיום נוסף לכך ממד חדש ומאיים: מתקפת סייבר. בין אם מדובר בקונצרנים בינלאומיים ובין אם בעסקים קטנים – המשמעות זהה. ברגע שהעובדים בארגון שלכם מתחברים לרשת, קיים פוטנציאל חשיפה לגורמים עוינים. הם יכולים לגנוב סודות מסחריים, לעשות שימוש במידע פנימי, למחוק נתונים, לפגוע בשגרת הפעילות וכן, הם יכולים אפילו לשבש מערכות ולהביא לפיצוץ מתקנים סודיים שנהנים מהגנה של מאבטחים חמושים.

אז מה עושים? נערכים לקרב ומשפרים את מערכת אבטחת המידע שלכם, כדי שיתאימו כבר היום לטכנולוגיה של המחר. "המלחמה שלנו היא מול מכונות", אומר גל עופרי, CTO ומנהל הפיתוח העסקי בבזק בינלאומי, המתמחה בפתרונות סייבר לארגונים ולעסקים. "ההאקרים מפעילים ציוד שעובד 24/7, הווירוסים שהם מייצרים לא מתעייפים, לא יוצאים להפסקת אוכל ולא בודקים הודעות בווטסאפ. מול איום שלא נח אנחנו צריכים לדעת להגיב מסביב לשעון".

עקרון ראשון: אוטומציה

מערך הגנת הסייבר העתידי נדרש לספק מענה טכנולוגי רב-מערכתי, המשלב רבדים שונים של מיגון, שיענו לאתגרים המעמיקים של עולם הלוחמה האלקטרונית. העקרון הראשון שאותו נדרש כל מערך אבטחת הסייבר לכסות הוא היכולת לספק מענה בזמן אמת למתקפה חיצונית.

בהקשר זה מסביר עופרי כי מנגנוני אבטחת המידע כיום נסמכים במידה רבה על זיהוי "חתימות" אלקטרוניות: תוכנות ההגנה שמגלות וירוס במחשב כלשהו בעולם מעבירות את תעודת הזהות שלו למאגר נתונים עולמי (Global Intelligence Cloud), הפיד הזה מעודכן בשרתים והמידע מועבר לכל משתמש שנעזר באותה התוכנה. וכך, כל מי שמעדכן את המנוי שלו למאגרי המידע יכול לזהות את הווירוסים החדשים שנוספו למאגרים ולחסום אותם. נשמע טוב? חשבו שנית.

"ברגע שאנחנו מחכים לבנאדם שיבצע עדכון תוכנה – הפסדנו", אומר עופרי. "אני צריך להיות מחובר כל הזמן, לעדכן את כל מערך אבטחת המידע שלי, A-Z, באופן מידי. השאיפה שלנו היא לעבור למודל שמבוסס על אוטומציה בצורה הכי נרחבת שאפשרית, אחרת אין לי סיכוי לעמוד מול איומי הסייבר".

ואמנם, החברות המובילות בעולם עובדות כיום על שינויים יישומיים שיחסכו את תהליכי הביניים. קובץ נגוע שמעודכן בשרת כלשהו בעולם יעודכן באופן אוטומטי לדאטה סנטר שבענן והמידע יהיה נגיש לכל משתמש תוכנה מבלי להידרש לפעולה נוספת. היישום הזה אמור להיכנס לפעילות בעתיד הקרוב. בינתיים ההגנה הטובה ביותר היא ביצוע עדכוני גרסאות למערכות ההגנה שלכם – או לחלופין, הסתמכות על שירותים של ספק אינטרנט מוביל שידאג לבצע עדכונים על עקרון מקצועי שוטף.

עקרון שני: נראות

"אלמנט מרכזי שצריך לקחת בחשבון בתחום הגנת הסייבר הוא השינוי בהרגלי הצריכה שעובר העולם", אומר עופרי, "תקופת הקורונה הביאה למיקסום של תהליך שאנחנו מכירים כבר זמן ארוך והוא שכיום אין כמעט גורם שיוכל להמשיך לעבוד מבלי לאפשר גישה מרוחקת לרשת הארגונית שלו. ולכן, כל מערך הגנה שתבנה לארגון שלך יצטרך בראש ובראשונה לתת מענה לבעיה הזו. אני צריך לספק הגנה שתעבוד באופן יעיל באותה מידה אם עובד שלך מתחבר מהמחשב במשרד, מהלפטופ בבית, מהטלפון הנייד או ממחשב קיוסק שהוא נכנס אליו בזמן חופשה בקופנגאן".

על רקע הדברים הללו נדרשת מערכת ההגנה הארגונית לשנות פאזה בהצבת הגנות נדרשות: "העקרון השני שאנחנו נרצה לכסות הוא סנסור ויזיבליטי (נראות) – היכולת שלי לראות פעילות חשודה מכל מקום ומכל אתר, גם אם מדובר במחשב לא מאובטח שזר לרשת הארגונית שלי, כי כיום אני יוצא מנקודת הנחה שאין דרך להימנע מחיבורים כאלה", מסביר עופרי.

מערך ההגנה העתידי (זאת אומרת – זה שאתם הייתם חייבים להתקין אצלכם ברשת כבר אתמול) צריך לספק מענה בזמן אמת ולזהות התנהגות חשודה בכל מקום על הרשת, ממשתמש הקצה ועד לאפליקציה של הרשת הארגונית שבה נעשה השימוש.

"למשל", ממחיש עופרי, "אם אני רואה שמישהו מנסה להוריד דוח מכירות ממחשב לא מוכר זה משהו שבעידן הנוכחי לא אמור להדליק נורה אדומה, אבל אם אני רואה 20 ניסיונות בשנייה להורדת דוח כזה, כנראה שאני חווה פריצה או באג במערכת. וזה משהו שאני צריך לדעת לאתר בזמן אמת ולא משנה מי משתמש הקצה שלי".

גל עופרי, CTO ומנהל פיתוח עסקי, בזק בינלאומי

עקרון שלישי: התנהגות

עקרון נוסף של הגנת הסייבר מבוסס על בינה מלאכותית (AI) ועוסק בזיהוי בזמן אמת של שינויי התנהגות בתוך הרשת הארגונית. "כדי לצמצם את סכנת החשיפה כבר אין אפשרות להסתפק רק בזיהוי 'חתימות' של גורמים עוינים שמושתלים במערכת", אומר עופרי. "אנחנו חייבים לספק מענה בזמן אמת גם לתהליכים אחרים שקורים אצלי ואחת הדרכים היא Machine Learning – לאפשר למחשבים עצמם ללמוד התנהגות רשתית ולאתר שינויים שקורים באופן מידי. ברגע שאני מזהה בתוך הרשת תהליכים יוצאי דופן, נניח תהליך שדורש כוח עיבוד לא שגרתי, הנורה האדומה אצלי נדלקת".   

עקרון רביעי: ניהוליות פרו אקטיבית

כדי שהרשת הארגונית שלכם תפיק את המקסימום משלושת הסעיפים הראשונים, היא חייבת לעבוד באופן מסונכרן – וזה דורש ניהוליות. "כדי שארגון לא יהיה חשוף במרווחים שבין הממשקים צריך ניהול צמוד, ולשם כך צריך ISP (ספק אינטרנט) שמנהל לך את כל מערך ההגנה, רואה בצורה הוליסטית את מה שעובר על המערכת, נעזר בטכנולוגיה מתקדמת ומייצר ניתוח מושכל ומתעדכן של הבעיות. מערך סייבר סקיוריטי בעידן הזה לא יכול להסתפק בכיבוי שריפות, אלא לנקוט בגישה פרו אקטיבית לאיתור תקלות לפני שהן יוצרות נזקים, תוך ניצול מלא של הבינה המלאכותית של המערכת".

מרכז SIEM/SOC (ניהול ובקרת מתקפות סייבר) , בזק בינלאומי

העתיד נמצא בענן

בהקשר זה בוחר עופרי לתת דגש מסכם על השינוי המתבקש בגישת האבטחה, שתתאים את הארגון שלכם לעידן של לוחמת הסייבר: "הדבר הבסיסי שאני ממליץ לכל מי שמעוניין לאבטח את המידע הארגוני שלו הוא בראש ובראשונה לעלות לענן. אני יודע שלכאורה זה נשמע מוזר: כשאני רוצה להגן על הרכוש שלי האינסטינקט הוא לשמור אותו קרוב אליי, אבל עברו הזמנים שבהם בנינו חדרי תקשורת והעמסנו פיירוולים על התשתית בארגון. במציאות שבה תשתיות התקשורת מבוססות על התחברות מאתרים מרוחקים, הדרך הנכונה להישאר בשליטה היא להעלות את הכול לשרתים מאובטחים ולהפקיד את העבודה בידי מקצוענים, וזה בדיוק מה שאנחנו בבזק בינלאומי מציעים – ניהול ובקרה 24/7 על הרשת הארגונית כדי למנוע, לאתר ולהגיב לכל ניסיון פריצה למערכות שלכם"

  • המידע באדיבות בזק בינלאומי, חברת התקשורת המובילה בישראל, המספקת שירותי IT מקצה לקצה ומפעילה מרכז מתקדם לבקרה, ניטור וניהול מתקפות סייבר לארגונים

רוצים לדעת עוד על מרכז ה SIEM/SOC של בזק בינלאומי?

אנחנו כאן בשבילכם – kobimi@bezeqint.co.il